Übersicht über TLS-SSL (Schannel SSP)Overview of TLS - SSL (Schannel SSP)

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016, Windows 10Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows 10

In diesem Thema für IT-Experten werden die Änderungen an der Funktionalität im SChannel Security Support Provider (SSP) beschrieben. Hierzu gehören die Transport Layer Security (TLS), die Secure Sockets Layer (SSL) und die DTLS-Authentifizierungsprotokolle (Datagram Transport Layer Security) für Windows Server 2012 R2, Windows Server 2012, Windows 8.1 und Windows 8.This topic for the IT professional describes the changes in functionality in the Schannel Security Support Provider (SSP), which includes the Transport Layer Security (TLS), the Secure Sockets Layer (SSL), and the Datagram Transport Layer Security (DTLS) authentication protocols, for Windows Server 2012 R2 , Windows Server 2012 , Windows 8.1, and Windows 8.

Schannel ist ein Security Support Provider (SSP), der die standardmäßigen Internetauthentifizierungsprotokolle SSL, TLS und DTLS implementiert.Schannel is a Security Support Provider (SSP) that implements the SSL, TLS and DTLS Internet standard authentication protocols. Die Security Support Provider-Schnittstelle (Security Support Provider Interface, SSPI) ist eine API, die von Windows-Systemen verwendet wird, um sicherheitsbezogene Funktionen wie Authentifizierungen durchzuführen.The Security Support Provider Interface (SSPI) is an API used by Windows systems to perform security-related functions including authentication. Die SSPI dienst als gemeinsame Schnittstelle für mehrere SSPs (Security Support Providers), einschließlich des Schannel SSP.The SSPI functions as a common interface to several Security Support Providers (SSPs), including the Schannel SSP.

Weitere Informationen zur Microsoft-Implementierung von TLS und SSL im Schannel SSP finden Sie in der technischen Referenz zu TLS/SSL (2003).For more information about Microsoft's implementation of TLS and SSL in the Schannel SSP, see the TLS/SSL Technical Reference (2003).

Features von TLS/SSL (Schannel SSP)TLS/SSL (Schannel SSP) features

Im folgenden werden die Features von TLS im Schannel-SSP beschrieben.The following describes features of TLS in the Schannel SSP.

Wiederaufnahme der TLS-SitzungTLS session resumption

Das Transport Layer Security (TLS)-Protokoll, eine Komponente von Schannel-Security Support Provider, wird verwendet, um Daten zu schützen, die zwischen Programmen in einem nicht vertrauenswürdigen Netzwerk gesendet werden.The Transport Layer Security (TLS) protocol, a component of the Schannel Security Support Provider, is used to secure data that is sent between applications across an untrusted network. Mit TLS/SSL können Server und Clientcomputer authentifiziert werden, und mit dem Protokoll können Nachrichten zwischen den authentifizierten Parteien verschlüsselt werden.TLS/SSL can be used to authenticate servers and client computers, and also to encrypt messages between the authenticated parties.

Geräte, die häufig eine TSL-Verbindung mit Servern aufbauen, müssen sich bei Ablauf einer Sitzung jeweils neu verbinden.Devices that connect TLS to servers frequently need to reconnect due to session expiration. Windows 8.1 und Windows Server 2012 R2 unterstützen jetzt RFC 5077 (Wiederaufnahme der TLS-Sitzung ohne Server-Side Status).Windows 8.1 and Windows Server 2012 R2 now support RFC 5077 (TLS Session Resumption without Server-Side State). Diese Änderung bewirkt bei Windows Phone- und Windows RT-Geräten folgende Vorteile:This modification provides Windows Phone and Windows RT devices with:

  • Reduzierter Ressourcenbedarf auf dem ServerReduced resource usage on the server

  • Reduzierte Bandbreite und damit verbesserte Effizienz von ClientverbindungenReduced bandwidth, which improves the efficiency of client connections

  • Geringere Dauer des TLS-Handshakes durch Wiederaufnahme der VerbindungReduced time spent for the TLS handshake due to resumptions of the connection.

Hinweis

Die Implementierung der clientseitigen RFC 5077 wurde in Windows 8 hinzugefügt.The client-side implementation of RFC 5077 was added in Windows 8.

Informationen zur Zustands losen Wiederaufnahme der TLS-Sitzung finden Sie im IETF-Dokument RFC 5077.For information about stateless TLS session resumption, see the IETF document RFC 5077.

AnwendungsprotokollverhandlungApplication protocol negotiation

Windows Server 2012 R2 und Windows 8.1 unterstützen die Client seitige TLS-Anwendungsprotokoll Aushandlung, damit Anwendungen Protokolle als Teil der http 2,0-Standardentwicklung nutzen können, und Benutzer können auf Onlinedienste wie Google und Twitter zugreifen, indem Sie Apps verwenden, die das SPDY-Protokoll ausführen.Windows Server 2012 R2 and Windows 8.1 support client-side TLS application protocol negotiation so applications can leverage protocols as part of the HTTP 2.0 standard development and users can access online services such as Google and Twitter using apps running the SPDY protocol.

So funktioniert'sHow it works

Client- und Serveranwendungen aktivieren die Erweiterung zum Aushandeln des Anwendungsprotokolls durch das Bereitstellen von Listen unterstützter Anwendungsprotokoll-IDs in absteigender bevorzugter Reihenfolge.Client and server applications enable application protocol negotiation extension by supplying lists of supported application protocol IDs, in descending order of preference. Der TLS-Client gibt an, dass er das Aushandeln des Anwendungsprotokolls unterstützt, indem er die ALPN-Erweiterung (Application Layer Protocol Negotiation) mit einer Liste clientseitig unterstützter Protokolle in der ClientHello-Nachricht mit einschließt.The TLS client indicates that it supports application protocol negotiation by including the Application Layer Protocol Negotiation (ALPN) extension with a list of client-supported protocols in the ClientHello message.

Beim Empfang der TLS-Anfrage des Clients durch den Server wertet dieser die Liste unterstützter Protokolle aus, um ein bevorzugtes Protokoll zu finden, das auch der Client unterstützt.When the TLS client makes the request to the server, the TLS server reads its supported protocol list for the most-preferred application protocol which the client also supports. Wenn ein solches Protokoll gefunden wird, antwortet der Server mit der ausgewählten Protokoll-ID und führt den Handshake wie gewohnt fort.If such a protocol is found, the server responds with the selected protocol ID and continues with the handshake as usual. Ist kein gemeinsames Anwendungsprotokoll vorhanden, sendet der Server eine Meldung über einen kritischen Handshake-Fehler.If there is no common application protocol, the server sends a fatal handshake failure alert.

Verwaltung vertrauenswürdiger Aussteller für die ClientauthentifizierungManagement of trusted issuers for client authentication

Wenn die Authentifizierung des Clientcomputers über SSL oder TLS erforderlich ist, kann der Server so konfiguriert werden, dass eine Liste vertrauenswürdiger Zertifikataussteller gesendet wird.When authentication of the client computer is required using SSL or TLS, the server can be configured to send a list of trusted certificate issuers. Diese Liste enthält die Gruppe der Zertifikataussteller, denen der Server vertraut, und hilft dem Clientcomputer bei der Auswahl des Clientzertifikats, falls mehrere Zertifikate vorhanden sind.This list contains the set of certificate issuers which the server will trust and is a hint to the client computer as to which client certificate to select if there are multiple certificates present. Darüber hinaus muss die Zertifikatkette, die der Clientcomputer an den Server sendet, anhand der Liste der konfigurierten vertrauenswürdigen Aussteller überprüft werden.In addition, the certificate chain the client computer sends to the server must be validated against the configured trusted issuers list.

Vor Windows Server 2012 und Windows 8 konnten Anwendungen oder Prozesse, die den Schannel SSP verwendeten (einschließlich HTTP.sys und IIS), eine Liste der vertrauenswürdigen Aussteller bereitstellen, die für die Client Authentifizierung über eine Zertifikat Vertrauens Liste unterstützt werden.Prior to Windows Server 2012 and Windows 8, applications or processes that used the Schannel SSP (including HTTP.sys and IIS) could provide a list of the trusted issuers that they supported for Client Authentication through a Certificate Trust List (CTL).

In Windows Server 2012 und Windows 8 wurden Änderungen am zugrunde liegenden Authentifizierungsprozess vorgenommen, um Folgendes zu tun:In Windows Server 2012 and Windows 8, changes were made to the underlying authentication process so that:

  • Eine CTL-basierte Verwaltung der Liste vertrauenswürdiger Aussteller wird nicht mehr unterstützt.CTL-based trusted issuer list management is no longer supported.

  • Das Verhalten zum Senden der Liste vertrauenswürdiger Aussteller ist standardmäßig deaktiviert: der Standardwert des Registrierungsschlüssels sendtreuhänder-Liste ist jetzt 0 (standardmäßig deaktiviert) anstatt 1.The behavior to send the Trusted Issuer List by default is off: Default value of the SendTrustedIssuerList registry key is now 0 (off by default) instead of 1.

  • Die Kompatibilität mit früheren Versionen von Windows-Betriebssystemen wurde gewahrt.Compatibility to previous versions of Windows operating systems is preserved.

Hinweis

Wenn die System Zuordnung durch die Client Anwendung aktiviert ist und Sie konfiguriert haben SendTrustedIssuers , wird der System Mapper CN=NT Authority zur Liste der Aussteller hinzugefügt.If System Mapper is enabled by the client application and you have configured SendTrustedIssuers, that system mapper will add CN=NT Authority to the issuers list.

Welcher Wert wird von diesem hinzugefügt?What value does this add?

Ab Windows Server 2012 wurde die Verwendung der CTL durch eine auf einem Zertifikat Speicher basierende Implementierung ersetzt.Beginning with Windows Server 2012 , the use of the CTL has been replaced with a certificate store-based implementation. Dies ermöglicht eine vertrautere Verwaltung mithilfe der vorhandenen Cmdlets zur Zertifikatverwaltung des PowerShell-Anbieters und von Befehlszeilentools wie „certutil.exe“.This allows for more familiar manageability through the existing certificate management commandlets of the PowerShell provider, as well as command line tools such as certutil.exe.

Obwohl die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die der Schannel SSP unterstützt (16 KB), mit der unter Windows Server 2008 R2 identisch ist, gibt es in Windows Server 2012 einen neuen dedizierten Zertifikat Speicher für Client Authentifizierungs Aussteller, sodass keine nicht verknüpften Zertifikate in der Nachricht enthalten sind.Although the maximum size of the trusted certification authorities list that the Schannel SSP supports (16 KB) remains the same as in Windows Server 2008 R2 , in Windows Server 2012 there is a new dedicated certificate store for client authentication issuers so that unrelated certificates are not included in the message.

FunktionsweiseHow it works?

In Windows Server 2012 wird die Liste der vertrauenswürdigen Aussteller mithilfe von Zertifikat speichern konfiguriert. ein standardmäßiger globaler Computer Zertifikat Speicher und ein Zertifikat Speicher, der pro Standort optional ist.In Windows Server 2012 , the trusted issuers list is configured using certificate stores; one default global computer certificate store and one that is optional per site. Die Quelle der Liste wird wie folgt bestimmt:The source of the list will be determined as follows:

  • Wenn ein bestimmter Anmeldeinformationsspeicher für diese Site konfiguriert ist, wird dieser als Quelle verwendet.If there is a specific credential store configured for the site, it will be used as the source

  • Wenn keine Zertifikate in dem von der Anwendung definierten Speicher vorhanden sind, prüft Schannel den Speicher Clientauthentifizierungsaussteller auf dem lokalen Computer und verwendet diesen Speicher als Quelle, wenn Zertifikate vorhanden sind.If no certificates exist in the application-defined store, then Schannel checks the Client Authentication Issuers store on the local computer and, if certificates are present, uses that store as the source. Wenn in keinem der Speicher ein Zertifikat gefunden wird, wird der Speicher für vertrauenswürdige Stämme überprüft.If no certificate is found in either store, the Trusted Roots store is checked.

  • Wenn weder die globalen noch die lokalen Speicher Zertifikate enthalten, verwendet der Schannel-Anbieter den Speicher vertrauenswürdiger Stamm Zertifizierungs stellen als Quelle der Liste vertrauenswürdiger Aussteller.If neither the global or local stores contain certificates, the Schannel provider will use the Trusted Root Certifictation Authorities store as the source of trusted issuers list. (Dies ist das Verhalten für Windows Server 2008 R2.)(This is the behavior for Windows Server 2008 R2 .)

Wenn der verwendete Speicher für Vertrauenswürdige Stamm Zertifizierungs stellen eine Mischung aus Zertifikaten des Stamm Zertifikats (selbst signiert) und der Zertifizierungsstelle (Certification Authority, ca) enthält, werden standardmäßig nur die Zertifikate der Zertifizierungsstellen Aussteller an den Server gesendet.If the Trusted Root Certifictation Authorities store that was used contains a mix of Root (self-signed) and certification authority (CA) Issuer certificates, only the CA Issuer certificates will be sent to the server by default.

Konfigurieren von SChannel zur Verwendung des Zertifikat Speicher für vertrauenswürdige AusstellerHow to configure Schannel to use the certificate store for Trusted Issuers

Die Schannel SSP-Architektur in Windows Server 2012 verwendet standardmäßig die oben beschriebenen Speicher, um die Liste der vertrauenswürdigen Aussteller zu verwalten.The Schannel SSP architecture in Windows Server 2012 will by default use the stores as described above to manage the Trusted Issuers list. Es können weiterhin die vorhandenen Cmdlets des PowerShell-Anbieters und von Befehlszeilentools wie „Certutil“ für die Zertifikatverwaltung verwendet werden.You can still use the existing certificate management commandlets of the PowerShell provider, as well as command line tools such as Certutil to manage certificates.

Informationen zum Verwalten von Zertifikaten mithilfe des PowerShell-Anbieters finden Sie unter AD CS Administration Cmdlets in Windows.For information about managing certificates using the PowerShell provider, see AD CS Administration Cmdlets in Windows.

Informationen zum Verwalten von Zertifikaten mithilfe des Zertifikatdienstprogramms finden Sie unter certutil.exe.For information about managing certificates using the certificate utility, see certutil.exe.

Informationen dazu, welche Daten einschließlich des anwendungsdefinierten Speichers als Anmeldeinformationen für Schannel definiert sind, finden Sie unter SCHANNEL_CRED structure (Windows).For information about what data, including the application-defined store, is defined for an Schannel credential, see SCHANNEL_CRED structure (Windows).

Standardeinstellungen für Vertrauensstellungs ModiDefaults for Trust Modes

Es gibt drei Vertrauensstellungsmodi für die Clientauthentifizierung durch den Schannel-Anbieter.There are three Client Authentication Trust Modes supported by the Schannel provider. Der Vertrauensstellungs Modus steuert, wie die Überprüfung der Zertifikat Kette des Clients durchgeführt wird, und ist eine systemweite Einstellung, die von der REG_DWORD "clientauthtrustmode" unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel gesteuert wird.The trust mode controls how validation of the client's certificate chain is performed and is a system-wide setting controlled by the REG_DWORD "ClientAuthTrustMode" under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel.

WertValue VertrauensstellungsmodusTrust Mode BESCHREIBUNGDescription
00 Maschinenvertrauensstellung (Standard)Machine Trust (default) Erfordert, dass das Clientzertifikat von einem Zertifikat in der Liste der vertrauenswürdigen Aussteller ausgestellt wurde.Requires that the client certificate is issued by a certificate in the Trusted Issuers list.
11 Exklusive StammvertrauensstellungExclusive Root Trust Erfordert, dass das Clientzertifikat in der Zertifikatkette auf ein Stammzertifikat zurückgeht, das in dem durch den Aufrufer festgelegten Speicher für vertrauenswürdige Aussteller enthalten ist.Requires that a client certificate chains to a root certificate contained in the caller-specified trusted issuer store. Das Zertifikat muss auch von einem Herausgeber in der Liste der vertrauenswürdigen Aussteller ausgestellt worden sein.The certificate must also be issued by an issuer in the Trusted Issuers list
22 Exklusive Zertifizierungsstellen-VertrauensstellungExclusive CA Trust Erfordert, dass das Clientzertifikat in der Zertifikatkette auf ein dazwischenliegendes Zertifizierungsstellenzertifikat oder ein Stammzertifikat zurückgeht, das in dem durch den Aufrufer festgelegten Speicher für vertrauenswürdige Aussteller enthalten ist.Requires that a client certificate chain to either an intermediate CA certificate or root certificate in the caller-specified trusted issuer store.

Informationen zu Authentifizierungsfehlern aufgrund von Konfigurationsproblemen vertrauenswürdiger Aussteller finden Sie im Knowledge Base-Artikel 280256.For information about authentication failures due to trusted issuers configuration issues, see Knowledge Base article 280256.

TLS-Unterstützung für SNI-Erweiterungen (Server Name Indicator)TLS support for Server Name Indicator (SNI) Extensions

Das SNI-Feature stellt eine Erweiterung der Protokolle SSL und TLS dar und ermöglicht die richtige Identifizierung des Servers, wenn zahlreiche virtuelle Images auf einem einzelnen Server ausgeführt werden.Server Name Indication feature extends the SSL and TLS protocols to allow proper identification of the server when numerous virtual images are running on a single server. Um die Sicherheit der Kommunikation zwischen einem Clientcomputer und einem Server herzustellen, fordert der Clientcomputer ein digitales Zertifikat beim Server an.To properly secure the communication between a client computer and a server, the client computer requests a digital certificate from the server. Nachdem der Server auf die Anforderung geantwortet und das Zertifikat gesendet hat, prüft der Clientcomputer es, verwendet es zur Verschlüsselung der Kommunikation und fährt mit dem normalen Austausch von Anforderungen und Antworten fort.After the server responds to the request and sends the certificate, the client computer examines it, uses it to encrypt the communication, and proceeds with the normal request-response exchange. Bei virtuellen Hostszenarien werden jedoch mehrere Domänen, von denen jede über ein eigenes Zertifikat verfügt, auf einem Server gehostet.However, in a virtual hosting scenario, several domains, each with its own potentially distinct certificate, are hosted on one server. In diesem Fall kann der Server nicht im Voraus wissen, welches Zertifikat er an den Clientcomputer senden muss.In this case, the server has no way of knowing beforehand which certificate to send to the client computer. Dank SNI kann der Clientcomputer die Zieldomäne zu einem früheren Zeitpunkt im Protokoll informieren, damit der Server das richtige Zertifikat auswählen kann.SNI allows the client computer to inform the target domain earlier in the protocol, and this allows the server to correctly select the proper certificate.

Welcher Wert wird von diesem hinzugefügt?What value does this add?

Die folgende zusätzliche Funktionalität:This additional functionality:

  • Sie können mehrere SSL-Websites mit einer einzelnen IP- und Portkombination hosten.Allows you to host multiple SSL websites on a single IP and port combination

  • Der Speicherbedarf wird reduziert, wenn mehrere SSL-Websites auf einem einzelnen Webserver gehostet werden.Reduces the memory usage when multiple SSL websites are hosted on a single web server

  • Mehr Benutzer können gleichzeitig die Verbindung zu SSL-Websites herstellen.Allows more users to connect to my SSL websites simultaneously

  • Sie können Endbenutzern über die Benutzeroberfläche des Computers Hinweise zur Auswahl des richtigen Zertifikats während eines Clientauthentifizierungsprozesses geben.Permits you to provide hints to end users through the computer interface for selecting the correct certificate during a client authentication process.

So funktioniert'sHow it works

Schannel SSP unterhält einen speicherinternen Cache der Clientverbindungsstatus, die für Clients zulässig sind.The Schannel SSP maintains an in-memory cache of client connection states permitted for clients. Dadurch erhalten Clientcomputer die Möglichkeit, die Verbindung mit dem SSL-Server bei Folgeaufrufen schnell wieder aufzubauen, ohne einen vollständigen SSL-Handshake durchführen zu müssen.This allows client computers to reconnect quickly to the SSL server without subject to a full SSL handshake on subsequent visits. Durch diese effiziente Verwendung der Zertifikat Verwaltung können im Vergleich zu früheren Betriebssystemversionen mehr Standorte auf einem einzelnen Windows Server 2012 gehostet werden.This efficient use of certificate management permits more sites to be hosted on a single Windows Server 2012 compared to previous operating system versions.

Die Zertifikatauswahl durch den Endbenutzer wurde verbessert, indem Ihnen die Möglichkeit gegeben wird, eine Liste der Namen möglicher Zertifikataussteller zu erstellen, die Endbenutzern Anhaltspunkte bei der Auswahl liefert.Certificate selection by the end user has been enhanced by allowing you to construct a list of probable certificate issuer names that provide the end user with hints on which one to choose. Diese Liste kann mit einer Gruppenrichtlinie konfiguriert werden.This list is configurable using Group Policy.

Datagram Transport Layer Security (DTLS)Datagram Transport Layer Security (DTLS)

Das DTLS-Protokoll in der Version 1.0 wurde Schannel Security Support Provider hinzugefügt.The DTLS version 1.0 protocol has been added to the Schannel Security Support Provider. Das DTLS-Protokoll sorgt bei der Kommunikation mit Datagrammprotokollen für Datenschutz.The DTLS protocol provides communications privacy for datagram protocols. Das Protokoll ermöglicht es Client/Server-Anwendungen, so zu kommunizieren, dass Lauschangriffe, Manipulationen oder Nachrichtenfälschung vermieden werden.The protocol allows client/server applications to communicate in a way that is designed to prevent eavesdropping, tampering, or message forgery. Das DTLS-Protokoll basiert auf dem TLS-Protokoll (Transport Layer Security) und bietet gleichwertige Sicherheitsgarantien. Daher wird die Notwendigkeit der Verwendung von IPsec oder der Erstellung eines benutzerdefinierten Sicherheitsprotokolls für die Anwendungsschicht verringert.The DTLS protocol is based on the Transport Layer Security (TLS) protocol and provides equivalent security guarantees, reducing the need to use IPsec or designing a custom application layer security protocol.

Welcher Wert wird von diesem hinzugefügt?What value does this add?

Datagramme sind häufig in Streamingmedien, z. b. Spiele oder gesicherte Videokonferenzen.Datagrams are common in streaming media, such as gaming or secured video conferencing. Indem Sie das DTLS-Protokoll dem Schannel-Provider hinzufügen, können Sie das gewohnte Windows SSPI-Modell zur Sicherung der Kommunikation zwischen Clientcomputern und -servern nutzen.Adding the DTLS protocol to the Schannel provider gives you the ability to use the familiar Windows SSPI model in securing the communication between client computers and servers. Zum Konzept von DTLS gehört es, TLS so ähnlich wie möglich zu sein, um einerseits weitere Sicherheitsvorkehrungen zu minimieren und andererseits den Umfang der Code- und Infrastrukturwiederverwendung zu maximieren.DTLS is deliberately designed to be as similar to TLS as possible, both to minimize new security invention and to maximize the amount of code and infrastructure reuse.

So funktioniert'sHow it works

Anwendungen, die DTLS über UDP nutzen, können das SSPI-Modell in Windows Server 2012 und Windows 8 verwenden.Applications that use DTLS over UDP can use the SSPI model in Windows Server 2012 and Windows 8. Bestimmte Verschlüsselungssammlungen sind für die Konfiguration verfügbar, die der Konfiguration von TLS ähnelt.Certain cipher suites are available for configuration, similar to how you can configure TLS. Schannel nutzt weiterhin den CNG-Kryptografieanbieter, der die in Windows Vista eingeführte FIPS 140-Zertifizierung nutzt.Schannel continues to use the CNG cryptographic provider which takes advantage of FIPS 140 certification, which was introduced in Windows Vista.

Veraltete FunktionenDeprecated functionality

Im Schannel SSP für Windows Server 2012 und Windows 8 gibt es keine veralteten Features oder Funktionen.In the Schannel SSP for Windows Server 2012 and Windows 8, there are no deprecated features or functionality.

Weitere VerweiseAdditional References